Evoquer la valeur des données en 2022, alors que les médias regorgent d'exemples d'entreprises subissant des dommages liés aux données, peut sembler contre-intuitif. Pourtant, il est bien connu que les données ont de la valeur, et c'est la raison même pour laquelle les attaques ciblant les données ne sont pas de simples cyberattaques. De plus en plus, elles visent à s'emparer de la richesse informationnelle des organisations ciblées.
La sécurité des données peut être divisée en trois domaines : la disponibilité, la confidentialité et l'intégrité. L'attaque d'un système d'information compromet sa disponibilité, mettant ainsi en péril le processus qu'il sous-tend. C'est ce que nous avons pu constater à l'hôpital de Corbeil-Essonnes il y a quelques mois. Faute de données disponibles liées au patient, le processus de diagnostic et de soins est rendu plus long et plus coûteux. Cela peut même avoir un impact sur la santé du patient en retardant un traitement. Lors de ces attaques, nous craignons également une atteinte à la confidentialité de données hautement sensibles.
Et si, par hasard, des pirates informatiques modifient ces données, ils pourraient compromettre leur intégrité. Ainsi, les trois volets de la sécurité des données sont touchés, avec des dommages importants : en premier lieu, la santé du patient, mais aussi la réputation de l'hôpital et le coût lié à la restauration des systèmes d'information et de tous les processus affectés. Se limiter à la sécurité des données est une approche défensive réductrice, même si nous ne pouvons pas l'exclure. La détermination de la valeur des données est une question importante pour la plupart des entreprises. La presse publie quotidiennement des success stories de start-ups où une bonne idée de partage ou de mise en commun d'informations très opérationnelles débouche sur une valeur nouvelle et insoupçonnée. Ainsi, en 2021, la capitalisation boursière de Facebook atteignait environ 1T4T1 trillion, mais la valeur nette de l'entreprise basée sur ses actifs et ses passifs n'était que de 1T4T138 milliards.1
La différence en termes de valeur s'explique par les données que Facebook recueille auprès de ses utilisateurs et qu'il utilise à son tour pour alimenter ses algorithmes publicitaires. Pour les économistes, les données représentent des atouts incomparables (en ce sens qu'ils peuvent être consommés par différents utilisateurs sans diminuer), qui ne se déprécient pas nécessairement au fur et à mesure que nous les utilisons ; au contraire, ils peuvent générer de nouvelles informations, par exemple lorsqu'ils sont combinés à d'autres. Pour certains, cependant, la valeur se déprécie, et ce, très rapidement. Toutes ces caractéristiques font que les données appartiennent à une catégorie d'actifs très spécifique qui ne ressemble à aucun autre actif incorporel, marque, logiciel, brevet, etc.
S'attaquer à la valeur des données nécessite également de se mettre d'accord sur le vocabulaire à utiliser : données versus informations. Sans rouvrir le débat sur la différence entre données et informations, nous pouvons les considérer comme identiques dans une première approche du sujet. Certains souhaiteront cependant distinguer les données - l'entrée du système, non modifiable, résultat de la mesure d'un phénomène - de l'information - la sortie du système après nettoyage, reformulation, raffinement, agrégation, transformation, etc.
La valeur de l'information a été étudiée en fonction des pratiques comptables, notamment par Moody et Walsh.2 Ils se sont d'abord attachés à démontrer que l'information peut être considérée comme un actif : elle offre un service et un avantage économique, elle est contrôlée par l'organisation et elle est le résultat de transactions passées. Ils ont ensuite proposé trois méthodes d'évaluation pour valoriser l'information.
La première est basée sur les coûts - d'acquisition, de traitement, de conservation, etc. C'est la plus facile à mettre en place car ces éléments sont plus ou moins présents dans le tableau de bord du contrôleur financier. Cependant, ces coûts ne reflètent pas tous les aspects des données, par exemple l'évolution de leur valeur dans le temps. La seconde méthode d'évaluation est basée sur le marché et consiste à déterminer la valeur qui peut être obtenue en vendant les données.
Il s'agit ici d'une valeur d'échange. Cette approche nécessite un effort considérable. De plus, il n'est pas toujours possible d'obtenir une mesure fiable de la valeur des données. Enfin, la troisième méthode est basée sur l'utilité.
Il s'agit d'évaluer la valeur d'usage des données en estimant la valeur économique qu'elles peuvent générer en tant que produit ou catalyseur. Mais cette valeur est difficile à anticiper et l'estimation de la part de son effet catalyseur est également très complexe.
Ainsi, il semble que les différentes approches pour déterminer la valeur des données soient partielles mais complémentaires : Certaines sont basées sur la valeur d'usage ou la valeur d'échange des données ; d'autres supposent un comportement rationnel des entreprises et évaluent les données au niveau de l'investissement réalisé pour les acquérir et les gérer tout au long de leur cycle de vie ; d'autres encore sont basées sur le risque. Les approches fondées sur le risque considèrent les données comme la cible des menaces qui pèsent sur l'entreprise ou l'organisation.. Ces risques peuvent être opérationnels ; ainsi, les données manquantes ou endommagées peuvent entraîner un mauvais fonctionnement de certains processus.
Mais il y a aussi des risques juridiques ou réglementaires, car de plus en plus de textes prévoient des obligations en matière de données ; le règlement général sur la protection des données n'est qu'un exemple parmi d'autres, même s'il est sans doute le plus connu. Les risques peuvent également être stratégiques lorsqu'ils concernent la réputation de l'entreprise ou l'amènent à prendre de mauvaises décisions.
Enfin, certains auteurs ont adopté une approche basée sur les externalités pour les données ouvertes, qui sont disponibles pour tous mais qui, en les exploitant, peuvent apporter un bénéfice à la société dans son ensemble.
Le concept de valeur des données est lié à l'objectif d'une bonne gouvernance des données : maximiser la valeur des données en minimisant les risques et les coûts associés.3 En adoptant cette approche à trois volets (valeur, risque et coût), nous pouvons mieux obtenir une vision holistique de la valeur des données et améliorer leur évaluation.
Ces trois aspects sont complémentaires, mais il ne faut pas exclure le contexte.
En effet, une même information n'a pas la même valeur selon le contexte temporel, géographique, économique ou politique dans lequel le processus d'évaluation est mené. La question du pourquoi de l'évaluation doit trouver une réponse afin de caractériser les éléments contextuels pertinents : politiques, économiques, sociaux, technologiques, écologiques et juridiques (PESTEL) en particulier.
L'objet de l'évaluation doit lui-même être identifié. L'une des difficultés de l'estimation de la valeur des données est de choisir le niveau de détail approprié : s'agit-il de l'ensemble d'un système d'information (par exemple, le système d'information du client) ou
un ensemble de données (par exemple la base de données clients) ou même une information clé (par exemple le prix de lancement d'un produit concurrent) ? Il est clair que la valeur d'un système d'information n'est pas la simple somme de la valeur de ses composants.
Peu d'approches pour l'évaluation des données sont suffisamment holistiques et générales pour permettre leur application à tout type de données dans n'importe quel contexte. Des recommandations peuvent être formulées, par exemple celle de choisir entre une approche descendante et une approche ascendante. Mais l'approche holistique ne peut être holistique qu'en combinant ces deux voies de valeur.
C'est parce que l'entreprise n'est toujours pas en mesure de mesurer la valeur réelle et potentielle des données qu'elle n'investit pas suffisamment dans la gouvernance des données et le partage de l'information.
Il s'agit d'un cercle vicieux qui conduit finalement à l'incapacité de l'entreprise à réaliser la pleine valeur des données.
Un cercle vertueux peut être mis en place en commençant par les données les plus critiques, par exemple (mais pas nécessairement) les données des clients, et en intégrant progressivement tous les acteurs des données - producteurs, transformateurs, vendeurs, distributeurs, consommateurs de ces données. Ils ont les différents points de vue nécessaires à une approche holistique.
____________
1 J. Akoka, I. Comyn-Wattiau, Evaluation de la valeur des données - Modèle et méthode, Record of the 40th Congress of INFORSID (INFormatique des ORganisations et Systèmes d'Information et de Décision), Dijon, 2022
2 D. Moody, P. Walsh, Measuring the Value of Information - an Asset Valuation Approach, Record of the European Conference on Information Systems (ECIS), 1999.
3 Forum économique mondial, Articuler la valeur des données, Livre blanc, 2021